京東方安全運營中心的5年探索路

路雖遠，行則將至……
“京東方不僅僅是傳統認知的一家科技制造企業，而且擴展出很多的業態，既包括小課屏、畫屏等面向C端的創新產品，也包括互聯網醫院、移動健康等智慧醫療服務。這就意味著我們的信息系統和數據開放性更強，暴露面更廣，因此網絡安全面臨的挑戰也越來越嚴峻。”京東方安全中心負責人李楠這樣表示。
京東方科技集團股份有限公司（BOE）創立于1993年4月，是一家領先的物聯網創新企業，形成了以半導體顯示為核心，物聯網創新、傳感器及解決方案、MLED、智慧醫工融合發展的“1+4+N+生態鏈”業務架構。目前京東方在全國多個城市擁有制造基地，子公司遍布全球20個國家和地區，服務體系覆蓋歐、美、亞、非等全球主要地區。
 
更開放的業態拓展，更廣泛的全球布局、更龐大的IT系統規模……都給京東方信息系統的網絡安全提出了嚴峻挑戰。在這種情況下，從2018年起，京東方就啟動安全運營中心（SOC）建設，是國內最先部署SOC類產品的大型企業之一。經過多年建設，SOC的成熟度已經走在了行業前列，并屢獲權威機構的推薦。
啟動篇：以資產為抓手 破解“安全孤島”難題 
據李楠回憶，京東方從早期就非常重視網絡安全，并在各個模塊都有齊全的防護措施，如數據安全方面有特權賬號管理，終端防御、網絡防御、主機防御都有安全部署，可以應對常規的病毒木馬、數據泄露、非授權訪問等常規威脅。
然而，隨著集團信息化建設不斷深入，業務系統資產及漏洞暴露面越來越大、大量日志數據孤島叢生缺少關聯及分析、安全措施各自為戰難以協同等問題也日益凸顯。同時，隨著各類安全產品的不斷部署，海量安全日志無法得到合規存儲，不僅存在合規風險，也存在日志無法有效利用的運營瓶頸。
面對千絲萬縷、紛繁龐雜的集團網絡安全狀況，該如何破題？李楠團隊給出的答案是“著眼資產”，即以資產為抓手，盤清家底、統攬全局。
“選擇資產為切入口，基于兩層原因，首先是2016年4月19日習近平總書記主持召開的網絡安全和信息化工作座談會中，重點提到‘要全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改。’另一方面，就是京東方在終端安全方面已經有了良好基礎，將終端資產作為安全管理的切入口，就變得順理成章、水到渠成。”
在這種情況下，奇安信剛推出不久的態勢感知與安全運營平臺（NGSOC），走進了京東方的視野。尤其是該平臺在資產發現、日志收集、關聯分析、服務器脆弱性管理等功能，吸引了京東方的極大關注。
在李楠看來，資產是網絡安全運營管理非常重要的環節，第一階段的核心工作，是以資產為中心收集資產、脆弱性、日志、流量等基礎數據，并對數據進行分類梳理，對安全事件進行管理，以實現基礎運行，為運行可控打好基礎。從2018年到2019年，京東方依托態勢感知平臺完成了SOC建設的第一階段。
 
第一階段的建設從幾個層面展開：在資產層面，通過人工錄入、模板導入、流量探針、主機安全管理、漏掃等措施，實現了梳理資產、摸清家底；在漏洞層面，通過定期脆弱性掃描、漏洞與資產自動匹配、資產風險評估等機制，找出漏洞并有效管理；在日志留存層面，通過態勢感知平臺完成日志匯聚、資產安全事件回溯分析、審計合規等基礎性工作；在威脅發現層面，通過建立有效而全面的流量分析，有效發現大量透過防御體系的安全風險；而在事件管理層面，通過大數據處理技術及威脅情報匹配，以及資產數據信息查詢責任人等，大大提高了安全事件的分析處置效率。
該階段建設的效果可謂立竿見影：在運營方面，實現了所有已知資產對應責任到人，高危漏洞有效管理，資產、漏洞、告警有效關聯，關鍵安全事件閉環解決率100%，安全事件響應時間節約90%以上，并可通過儀表板、大屏等方式數字化展示集團網絡安全各維度關鍵指標。在合規方面，實現日志留存6個月以上，完全符合法規及等保要求，并支撐HR、ERP、畫屏及郵箱等系統順利完成等級保護測評。 
完善篇：“多平臺互聯互通 構建安全中樞大腦”  
“第一階段建設顯著提升了集團的安全水平，但隨著SOC發揮的作用越來越大，我們也發現了新的問題，例如部分告警資產無法找到責任人，子公司告警無法有效定位，告警量大，告警流程手工處理慢等。”李楠表示。為此，從2019年開始，集團決定啟動SOC第二階段，即功能完善建設階段。
根據規劃，SOC第二階段的任務，主要是完善并實時了解資產屬性信息變化，屬地公司部署流量探針,集團完成平臺擴容，和周邊設備做數據打通，對關聯規則告警進行優化降噪，網絡安全數字化展示等，進而支撐資產、事件、漏洞全生命周期管理。主要圍繞以下幾個方面：
首先是更精細化的資產管理。一期工程盡管實現了有效的資產發現及資產管理，但由于所管理的組織過于龐大，資產責任部門及責任人時常動態變化，故存在一些在網設備無法實時準確對應責任部門及責任人的問題。同時資產缺少入網、退網狀態管理。該階段，京東方通過定制化開發完成SOC平臺和CMDB（資產管理系統）數據的實時打通，給每個資產賦予BMC編號，并通過API接口完成態勢感知平臺及CMDB資產數據之間的實時同步，以應對組織及人員變化對資產準確性的影響。通過自定義資產屬性字段增加入網、退網標簽，并通過“資產發現確認”流程，對入網/退網資產進行管理。真正實現了從看見發現，到清晰識別和實時掌控。
其次是建立集團化安全運營。作為分支機構遍布全國各地的大型集團企業，京東方對于大型屬地公司和小型屬地公司采取不同的部署、運營和賬號權限策略。集團可通過級聯管理及分權分域管理向屬地單位下發針對性關聯分析規則及預警通報，以對下級單位進行賦能?；谄脚_計算存儲所需資源，態勢感知平臺服務器集群也在隨著數據量的增加而增加。
再次是和周邊設備完成數據拉通，夯實安全大腦定位。通過定制化開發及API接口的對接，京東方先后完成和多個產品間的數據打通。例如，和主機CWPP對接自動獲取服務器資產及配置基線數據；和資產管理系統對接完成全集團資產數據信息的實時同步；和漏掃設備對接，實現直接在態勢感知平臺調用漏掃設備下發掃描策略進行掃描并自動導入漏掃結果；和第三方威脅情報平臺對接，完成雙威脅情報匹配，為自動化處置打下基礎；和ITSM系統對接，實現手動或部分確認性告警及脆弱性風險自動派單，縮短人員處置響應時間；和用戶中臺對接，從用戶中臺同步用戶信息實現SOC平臺的單點認證登錄；和短信及移動門戶平臺對接，實現告警及風險的消息提醒；和工控安全產品對接，實現IOT設備數據一體化分析、管理和展現等。
再者是更加持續優化的安全運營。李楠做了一個比喻，NGSOC在整個安全運營中就如同“大腦中樞”，它一方面“眼觀六路、耳聽八方”，打通集團各類平臺并匯聚分析集團資產、漏洞、日志、流量、告警等各類數據。另一方面，要“知行合一”，通過新增“告警處理流程”、“漏洞處置流程”，實現對告警處理閉環和漏洞生命周期管理，避免對安全風險出現“跟丟跑飛”的情況。對于告警量過大的通病，京東方通過各種技術手段進行篩選，結合長時間的風險修復運營，告警量已從最初的每日上萬級下降到每日上百級，達到人工可逐一分析處理的水平。
最后是更為靈活多維的安全態勢展現。一期工程由于缺少相應數據及功能支撐， 僅有外部威脅態勢、內部威脅態勢、資產風險態勢、安全運營態勢等部分大屏。持續優化之后，增加了包括資產態勢、全網脆弱性態勢、攻擊者態勢、業務外聯態勢、威脅預警態勢、攻防演練態勢、綜合安全態勢、漏洞生命周期態勢、全球BOE設備及流量監控態勢、應用系統安全態勢等大屏展示場景，從而更加數字化、專題化、精細化的展示京東方整體網絡安全態勢。 
 
 
通過該階段的功能完善，京東方SOC的資產管理更加契合自身安全管理屬性，并實現了告警處理閉環和漏洞生命周期管理。尤其在告警準確及風險閉環方面，京東方走在了國內前列。
優化篇：深入業務威脅建模 夯實風險管理屏障
階段一和階段二建設完成后，整體安全運營框架搭建完畢，安全運營體系基本形成。但隨著集團數字化轉型的持續開展，業務系統和安全要素的融合越來越密切，各類新的問題也開始出現，比較明顯的主要是兩方面：基于業務場景的關聯規則分析能力不足，SOC特定的告警處置占用了安全人員大量時間。
“安全人員不懂業務，業務建模有難度，是紅藍雙方共同的痛點。”京東方SOC建設負責人張森對打通安全和業務的難度，有著深刻理解。為了強化基于業務場景的關聯規則分析能力，京東方開展業務建模工作，通過深入分析業務安全需求，實現了業務指標和IT指標的深度綁定。
 
以釣魚郵件為例，過去僅有釣魚郵件告警這一粗粒度的IT指標，業務建模之后，細化為釣魚郵件收取率、打開率、URL點擊率等業務指標；同樣，邊界安全的防火墻IP阻斷/允許次數，轉化為關鍵業務攻擊量?；跇I務場景制定了大量關聯分析及基線分析規則，包括賬號新增、賬號鎖定、釣魚郵件、運維審計等等。通過該項工作，最終實現了以資產、業務為核心的全集團風險管理并積累了大量安全運營知識庫。
除了推動業務建模之外，京東方運營團隊和奇安信一起，重點推動了海量告警的合并降噪。具體采取了定期梳理資產、告警歸并、告警降噪、建立運營模式等多項措施，通過明確責任人以治降噪，對具有相同屬性的告警數據根據特定邏輯進行歸并，過濾明顯的無效數據，通過威脅情報進行二次校驗，對運營知識積累形成知識庫等措施，大幅度減少低價值告警數量，實現了運營效率的顯著提升。
效率篇： NGSOC+SOAR雙劍合璧 自動化響應提質增效 
完成前三個階段之后，京東方SOC已經具備了體系運營的基礎，在成熟度層面逐漸成為行業翹楚。從2022年開始，京東方將安全自動化響應提上了日程。“安全運營人員的精力和時間是寶貴的，我們希望他們從繁瑣事務中解放出來，投入到事件研判、溯源追蹤等更高價值、更高技術含量的工作之中。”
具體實現上，京東方針對通用的、大批量的、固定流程的告警，以及運維人員告警處置過程等形成SOP。并在NGSOC基礎上，通過定制安全自動化編排與響應工具（SOAR），集成多類自動化通知，將人工處理的過程定義成劇本，實現告警自動化處理。
通過SOAR劇本的編排，最終大幅度縮短了SOC響應和處置時間，提升了效率。從實際效果來看，自動化處置和人工處置相比，在NGSOC中發現同類告警，時間從3分鐘縮短到不到10秒鐘；根據告警查詢文件信譽/文件信息，時間從5分鐘縮短到5秒；下載文件和上傳文件檢測內容，時間從5分鐘縮短到10秒以內；而發送告警處置結果通知，時間從2分鐘縮短到5秒以內），整體的響應處置時間從15分鐘縮短至30秒，效率提升幅度達到96.7%。
 
更重要的是，NGSOC和SOAR的強強聯合，可形成“采集-分析-響應-復盤-總結”的持續動態閉環，解決了安全運營的最后一公里落地問題。對于漏洞管理可以實現全流程閉環管理，能夠追責到資產漏洞責任人，并進行告警狀態調整。針對自動工單派發，在NGSOC中產生的告警，由人工派單轉換為自動下發處置工單，并可通過郵件、短信、內部通信工具等方式通知資產責任人，加快整體派單效率，相關方可持續跟蹤工單處置狀態。
李楠總結道：“通過自動化響應、自動派單的安全運營模式，我們可以在實踐中不斷的復盤整改，讓運營人員騰出精力去做更隱蔽的攻擊行為分析或漏洞研究，反哺平臺的告警分析規則，最終形成一個‘告警處置越來越智能，平臺運營越來越省心，風險識別越來越精準’的良性循環，推動SOC真正邁入高成熟度的體系運營階段。”
結束語：
根據賽迪顧問發布的《2021-2022中國安全運營中心調研分析報告》（簡稱：《報告》）顯示，國內企業安全運營中心建成率已接近九成，但有高達65.5%的受訪企業僅處于一、二級成熟度區間”，大多數企業安全運營中心的成熟度還比較低?！秷蟾妗分攸c推薦了京東方的安全運營中心的建設案例，按照賽迪顧問的成熟度模型，京東方已接近實現了四級的體系運營，并向最高級——五級的深度運營逐步靠近，在國內大型企業中處于領先水平。
“路雖遠，行則將至；事雖難，做則必成”。京東方SOC能取得安全運營成熟度行業領先的成績，歸其原因，不僅僅是布局早、規劃清晰，更重要的是將規劃目標的每一項任務分解都落到了實處，每一個細微工作都做到了極致，拾級而上、聚沙成塔, 經過5年持之以恒、日積月累的分階段建設，分步驟實施，京東方的安全運營中心，最終成為全行業的重要標桿。 

(本文不涉密)
責任編輯：楊光

轉載：感謝您對網站平臺的認可，以及對我們原創作品以及文章的青睞，非常歡迎各位朋友分享到個人站長或者朋友圈，但轉載請說明文章出處。